办公系统国产密码改造方案 方案设计时间 2020.4 1 国产密码算法背景 2011 年 6 月，工程院多名院士联合上书，建议在金融、重要政府单 位领域率先采用国产密码算法，国务院相关领导作出重要批 示。2011 年 11 月，工信部和公安部通告了 RSA1024 算法被破解的风 险，同时人行起草了使用国产密码算法的可行性报告。国家密码管 理局在《关于做好公钥密码算法升级工作的函》中要求 日以后建立并使用公钥密码的信息系统，应当使用 SM2 算法；已 经建设完成的系统，应尽快进行系统升级，使用 SM2 算法。 近几年，国家密码管理局发布实施了《证书认证系统密码及其相关 技术规范》、《数字证书认证系统密码协议规范》、《数字证书认 证系统检测规范》、《证书认证密钥管理系统检测规范》等标准规 范，2010 年，发布实施了《密码设备应用接口规范》、《通用密码 服务接口规范》、《证书应用综合服务接口规范》及《智能 卡及 智能密码钥匙密码应用接口规范》等包含 SM1、SM2、SM3、SM4 等 算法使用的标准规范，而且也有部分厂商依据这些标准规范研制开 发了一些产品，为实施国产密码算法升级提供了技术基础。 本项目是落实《中共中央办公厅印(关于加强重要领域密码应用的指 导意见)的通知》、《金融和重要领域密码应用与创新发展工作规划 （2018-2022 年）》、《2019 年全省金融和重要领域密码应用与创

运营指挥中心和大数据可视化分析需求.............................................................................32 2.3.4 密码应用系统需求............................................................................................. ....................................................................................... 139 4.5.1 密码支撑服务平台设计........................................................................................... 大数据的应用场景，采用分布式云架构对 Z 务云平台进行改造升级。 市区两层平台对接 二、区块链平台建设 区块链技术是利用块链式数据结构来验证与存储数据、利用分 布式节点共识算法来生成和更新数据、利用密码学的方式保证数据 传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程 15 / 309 大数据能力平台建设项目方案建议书 和操作数据的一种全新的分布式基础架构与计算范式。简单来说，

安全管理原则 主要为：多人负责原则、任期有限原则、职责分离原则以 及安全教育和培训。 七、信创及国密方案 （一）密评规划方案 （1）建设目标 主要为：用户、远程管理接入链路保护、接入认证、应用 密码服务。 （2）建设依据 应用平台国密应用建设需遵循以下指导意见、业务规范、 技术要求等。 （3）密评设备资源复用 全域治理物业城市一网统管数字平台项目部署在 XX 区政务 云，可复用 XX 码设备，对通信链路进行加密。通过密码技术实现网络传输过 程的通信双方身份真实性、数据机密性、完整性保护等要求。 （二）信创规划方案 信创全称为信息技术应用创新，过去叫安全自主可控，可 实现核心技术、关键零部件、各类软件等全部国产化。 全域治理物业城市一网统管数字平台项目对于信创内容可 复用 XX 区政务数据管理局政务云资源，且本次建设非办公系统， 不需要进行国产化相关改造。 （三）密码应用方案 1 1. 密码应用技术框架 根据本项目的安全需求和密码应用自身的特点和政务信息 化 发 展 趋 势 ， 在 密 码 应 用 技 术 框 架 的 设 计 中 要 满 足 GB/T39786-2021《信息安全技术信息系统密码应用基本要求》 中【二级】系统的密码应用要求。 本方案的密码应用技术框架模型由密码技术体系和密码应 用管理体系 2 部分组成，其中密码技术体系分为 7 个层面，包 括终

车联网身份及密钥管理应用方案 目录 1. 国家政策和规 范 2. 车联网安全框架 3. 车联网密码应用方案 4. 车联网案例应用汇总 1.1 车联网安全性事 件 南卡罗莱纳大 学实现对 TMPS 系统的 攻击与实现利 用 OBD 接 口 控 制汽车 USENIX 安全会 议汽车攻击面分 析报告 DEFCON 短信解 锁斯巴鲁傲虎 DEFCON 会议 上，通过 OBD 国际标准 参考 国家标准（密码相关）  GM/T 0009 《 SM2 密码算法使用规范》  GM/T 0015 《基于 SM2 密码算法证书格式规 范  GM/T 0031 《安全电子签章密码技术规范》  GM/T 0034 《基于 SM ２的证书认证技术规 范》  GM/T 0054 《信息系统密码应用基本要求》 国际相关标准（密码相关）  美国 RSA 相关 组织的公钥基础设施 PKIX 规范 等 4 影响车联网密码应用的相关法律和政策  《中华人民共和国网络安全法》  《关键信息基础设施安全保护条例》 --- 定义交通相关领域属于关键基础设施  《中共中央办公厅 2015 年 4 号文件》 --- 推进国密算法在交通相关领域应用  《中华人民共和国密码法草案》 --- 明确密码的应用方法和主管机构  《网络安全等级保护基本要求》

境中，其所有功能（认证、应用控制、内容审计、报表等）都支持 IPv6；支持多种认证方式，包括用户名密码、IP、MAC 认证、短信认 证、微信认证、二维码认证，并支持以 USB-Key 方式实现双因素身份 认证；支持用户密码强度管理，可设置用户密码不能等于用户名、新 密码不能与旧密码相同，可设置密码最小长度、密码必须包括数字或 字母或特殊字符；支持识别终端系统后台运行的进程信息，防止间谍 软件的运 的相互协调。有必要建立或健全安全管理体系和组织体系，完善安全运行管理机制， 明确各职能部门的职责和分工，从技术、管理和法律等多方面保证智慧城市的正常 运行。 1.2.1 安全体系建设依据 根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的 《信息安全等级保护管理办法》、《信息系统安全等级保护定级指南》等标准，“平 台”的信息系统安全保护等级定达到第三级(见 GB/T 22239-2008)，根据《信息系统 安全信息化系统管理制度 （1） 为规范本单位安全信息化系统的管理，保障系统安全、稳定、可靠运行， 充分发挥安全信息化系统的作用，特制订本细则。 （2） 各部门办公计算机应明确使用人，设置安全保护密码，未经本人许可或 领导批准，任何人不应擅自开启和使用他人的办公计算机。 （3） 维护职责 1）办公室为安全信息化系统运行维护的管理部门，负责安全信息化系统运行 维护工作的协调、指导和管理

维度的技术差异化突破。双方不仅在技术层面展开激烈竞争，更在产业生 态与地缘战略中相互博弈，试图将量子优势转化为未来军事、安全与经济 领域的战略筹码。与此同时，量子安全领域正面临从单一的量子密钥分发 （QKD）、抗量子密码学（PQC）到二者融合的技术升级。同时，全球主 要经济体根据各自的战略定位与产业基础，也在探索多元并进的安全防护 模式；而在量子传感领域，针对于各物理量的测量均已实现了跨越式进化， 即国际计量 2018.12 国会《国家量子倡议法案》 • 2022.11 白宫《国家安全备忘录》 • 2023.03 白宫《国家网络安全战略》 • 2023.08 CISA、NSA、NIST《量子准备：向后量子 密码学的迁移》 • 2023.08 美国国家科学基金会《量子信息科学与工 程能力扩展 (ExpandQISE) 计划》 • 2024.04 国会、参议院《国防量子加速法案》 • 2024.04 联邦调查局《保护量子科技》 美国Apple公司宣布对其iMessage通讯平台进行升级，此次升级采用PQ3加密技术。 • 中电信量子搭建融合量子密钥分发的分布式密码系统架构，同时，构建起量子密钥分发、 抗量子密码与经典密码深度融合的新型密码体系。 抗量子加密 • 韩国SK电讯与KCS公司共同开发的量子密码芯片QKEV7，此芯片集量子随机数发生器与加 密通信功能于一体，有物理不可克隆等技术，且轻量、低功耗。 • 硅臻研发的量

....................................................................................... 20 4.4.2. 密码技术.......................................................................................... 26 4.4 助于提升行业的合规性和安全性，促进低空经济的有序发展。 技术创新与安全保障：多项政策鼓励企业和科研机构加强低空安全相关技术 研究，如数据安全、通信链路安全等，以提升低空飞行器的安全性和稳定性。同 时，政策支持应用商用密码技术、人工智能等前沿技术，以增强网络与数据安全 防护能力。这些举措有助于提升行业的整体技术水平，为低空经济的发展奠定坚 实基础。 数据管理与安全防护：在数据管理方面，提出应加强数据在采集、存储、传 时，应当立即采取补救措施，按照国家有关规定 及时告知使用人，并向住所地的县级以上地方人 民政府工业和信息化主管部门或者省级通信主 管部门报告。  国家鼓励民用无人驾驶航空器生产者依法使用 商用密码等技术手段保护网络与信息安全。  民用无人驾驶航空器生产者应当加强民用无人 驾驶航空器生产过程的数据管理和安全防护。 2024-03-27 工业和 信息化 部、科 学技术 部、财 政部、 中国民

点 登 录 ) 3 . 2 . 1 系统概述 随着学校智慧校园应用建设的逐步深入，已经建成的和将要建成的各种应 用 系统存在不同的身份认证方式，安全信息各自管理，广大师生用户必须记忆 不同 的密码和身份。为了解决多账户问题，方便老师和学生使用智慧校园的各 个应用 管理系统，迫切要求建立一套统一的身份管理平台，用户只需要在平台 上登录一 次就可以使用所有的智慧校园内的应用软件系统。 单点 3、安全、可靠的统一身份认证 对访问者通过客户端提交的帐号与密码使用 HASH 函数获得数据摘要、使 用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、 密码及数字签名进行加密，使用单点登录系统数字证书的公开密钥对秘密密钥进 行加密；由服务器端使用单点登录系统的私有密钥进行解密获得秘密密钥，使用 秘密密钥还原出帐号、密码及数字签名，依据帐号与密码使用相应用户数字证书 29 的公开 的公开密钥将数字签名还原出数据摘要，同由帐号与密码使用 HASH 函数获得 的数据摘要进行比对，如果完全一致，认定接收到的帐号与密码真实、不可否 认， 在网络传输过程中没有被伪造、篡改或冒充；依据用户基本信息库对访问者 提交 的帐号与密码进行验证，确认访问者作为用户身份的合法性。 4、安全、可靠的网上数据传输 对用户通过客户端提交的数据使用 HASH 函数获得数据摘要、使用用户 私

机密级（一般、增强） 绝密级 信息的重要性，以 信息最高密级确定 受保护的级别。 集成：保密局发的涉密集成资质 单项：保密局发的涉密单项资质 安全产品：保密局发的涉密检测报告 密码产品：国密局发的密码资质 防病毒软件：公安部的检测报告 军队：军用安全产品检测报告 全部禁止使用国外安全产品 秘密、机 密→ 每 2 年 绝密→ 每年 等级保护与分级保护区别 等级保护 测评周期 外包软件开发 工程实施 测试验收 系统交付 等级测评 服务供应商选择 安全运维管理 环境管理 资产管理 介质管理 设备维护管理 漏洞和风险管理 网络和系统安全管 理 恶意代码防范管理 配置管理 密码管理 备份与恢复管理 安全事件处置 应急预案管理 外包运维管理 管理要求 变更管理 《基本要求》框架 技术要求 添加标题 添加标题 添加标题 安全物理环境 • 机房出入口应配置电子门禁系统 设备并按照业 务服务的重要 程度配置并启 用了带宽策略 应划分不同的 网络区域，并 按照方便管理 和控制的原则 为各网络区域 分配地址 技术要求 安全通信网络 应采用校验技 术或密码技术 保证通信过程 中数据的完整 性 应采用密码技 术保证通信过 程中数据的保 密性 并在应用程序 的关键执行环 节进行动态可 信验证 网络架构 通信传输 可信验证 三级 技术要求 安全区域边界 1 、边界防护

建立云计算服务相关安全管理流程和 制度， 通过系统化的方式确保合规要 求内部落地 《中华人民共和国网络安全 法》 正式执行，按照要求开展商用密码应 用安全性评估，确保云计算平台密码 应用的合规性、正确性和有效性； 《中华人民共和国密码法》  国家密集出台云计算安全建设的相关政策 安全是信创云的基石 14 政企信创云规划设计方法论 B 规划和设计 C 实施和优化 A 现状和需求分析 、门户等），后端系统（高并发数据库、数据处理系统） 云服务需求：  需支持主流 IaaS 服务，包括云主机服务、弹性伸缩服务、块存储服务、文件存储服务、虚拟网络服务等 安全需求：  云平台安全建设需通过等保 2.0 三级和密码测评 运维需求：  需支持对虚机的监控和管理 灾备需求：  需实现本地备份和异地数据容灾 某国企客户将在外网建设一朵信创云平台，以下为本次建设需求： 存储需求：  存储服务需基本块、文件、对象等服务 4 18 防火墙 云安全管理平台软件 V2.0 / 虚拟组件 安全区域边界 4 数据库审计 云安全管理平台软件 V2.0 / 虚拟组件 安全计算环境 4 19 20 国密产品 服务器密码机 服务器密码机 SJJ1955-G 4 21 数字证书认证系统 数字证书认证系统 CA-S010 4 22 密钥管理系统 密钥管理系统 KMS-S010 2 满足了信创云环境下，等保 2.0 三级基